Plataforma
wordpress
Componente
website-llms-txt
Corregido en
8.2.7
La vulnerabilidad CVE-2026-27068 es una falla de 'Improper Neutralization of Input During Web Page Generation' (XSS reflejado) presente en el componente Website LLMs.txt. Esta falla permite a un atacante inyectar scripts maliciosos en las páginas web generadas, comprometiendo la seguridad de los usuarios. Afecta a las versiones desde 0.0.0 hasta la 8.2.6, siendo solucionada en la versión 8.2.7.
Un atacante puede explotar esta vulnerabilidad para ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página web comprometida. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. La inyección de scripts puede ser utilizada para realizar ataques de phishing dirigidos, robar información confidencial o incluso tomar control de la cuenta del usuario. La severidad de este tipo de vulnerabilidad radica en su capacidad para comprometer la integridad y confidencialidad de la información del usuario.
La vulnerabilidad fue publicada el 2026-03-19. No se ha reportado su inclusión en el KEV de CISA ni la existencia de PoCs públicas activas al momento de la publicación. La probabilidad de explotación se considera baja, pero la naturaleza de XSS reflejado implica que la vulnerabilidad podría ser explotada si un atacante logra engañar a un usuario para que visite una URL maliciosa.
Websites utilizing the Website LLMs.txt plugin, particularly those handling sensitive user data or financial transactions, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromised website could potentially be used to attack other websites on the same server.
• wordpress / composer / npm:
grep -r '<script>' /var/www/html/wp-content/plugins/website-llms-txt/• generic web:
curl -I https://example.com/?param=<script>alert(1)</script>• wordpress / composer / npm:
wp plugin list --status=inactive• wordpress / composer / npm:
wp plugin update website-llms-txtdisclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Website LLMs.txt a la versión 8.2.7 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de la entrada del usuario y la codificación de la salida para prevenir la ejecución de scripts maliciosos. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de inyección de scripts. Verifique la actualización ejecutando wp plugin update website-llms-txt y confirmando la versión instalada con wp plugin status website-llms-txt.
Actualizar a la versión 8.2.7, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-27068 is a Reflected XSS vulnerability in the Website LLMs.txt WordPress plugin, allowing attackers to inject malicious scripts. It has a CVSS score of 7.1 (HIGH).
You are affected if you are using Website LLMs.txt versions 0.0.0 through 8.2.6. Upgrade to 8.2.7 or later to mitigate the risk.
Upgrade the Website LLMs.txt plugin to version 8.2.7 or later. Consider WAF rules as a temporary workaround if immediate upgrade is not possible.
While no public exploits are currently known, the ease of exploitation for Reflected XSS vulnerabilities suggests it may become a target.
Refer to the official Website LLMs.txt plugin repository or WordPress.org plugin page for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.